in ms sql 集合参数传递_SqlHelper中IN集合场景下的参数处理

最新推荐文章于 2022-03-31 08:34:22 发布
最新推荐文章于 2022-03-31 08:34:22 发布
阅读量194 收藏
点赞数
文章标签: in ms sql 集合参数传递
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42516490/article/details/112050963
版权

我手头有个古老的项目,持久层用的是古老的ADO.net。前两天去昆明旅游,其中的一个景点是云南民族村,通过导游介绍知道了一个古老的民族——基诺族,“基”在这个族内代表舅舅,“基诺”意为“跟在舅舅后边”,加以引申即为“尊崇舅舅的民族”,很有意思吧,这是我国最后一个被发现并确认下来的少数民族,即第56个民族。  项目里的ado.net和基诺族一样古老。

话说,项目里数据访问层,好多都是拼的sql,这给sql注入提供了可乘之机,为了系统安全,决定在有限的时间内,将它改成参数化。

其中,有个根据多个订单号查询支付单的方法,签名如下:

public DataTable GetAlipayNotifyRecords(AlipayPaymentStatus status, params string[] trade_no)

那么,问题来了,因为sql里有in, 而 in(@no)的方式是行不通的。

怎么办呢?  首先想到的是对参数做处理:

public DataTable GetAlipayNotifyRecords(AlipayPaymentStatus status, params string[] trade_no)

{string sql = @"select * from T_AlipayNotityRecord where trade_status=@trade_status and trade_no in(@trade_no)";//string inValue = "'" + string.Join("','", trade_no) + "'";//= string.Join(",", trade_no)

string inValue = "";

trade_no.ToList().ForEach(no=> inValue += "union all select '" + no+"'");

inValue= inValue.Substring("union all".Length);

List paramList = new List()

{new SqlParameter("@trade_status",status.ToString()),new SqlParameter("@trade_no",inValue),

};var ds =SqlHelper.SqlDataSet(ConfigFile.PayCenterConnection, sql, CommandType.Text, paramList.ToArray());if (ds == null || ds.Tables.Count == 0)return null;return ds.Tables[0];

}

经测试,无效。经分析可知,sqlhelper会把你参数值当成字符串,不会对其做转义。所以,不管怎么对参数值处理,都还是一串字符串。

按这样的原理往下想,只能是将单号分开来传递给sql了。那么正好sql的in可以通过如下几种方式等效实现:

sql里有临时表,可以in一个临时表--这时,可以考虑and trade_no in(select @p1 union all select @p2 union all...)的方式

把sql的in集合,转换为一个用or拼接起来的集合---即,and (trade_no=@p1 or trade_no=@p2 or trade_no=@p3 or...)

如下代码是按照后者的思路解决了这个问题:

public DataTable GetAlipayNotifyRecords(AlipayPaymentStatus status, params string[] trade_no)

{string sql = @"select * from T_AlipayNotityRecord where trade_status=@trade_status and ({0})";

List paramList = new List()

{new SqlParameter("@trade_status",status.ToString()),

};string sql1 = "";for (int i=0;i

{

sql1+= "or trade_no=@no" +i;

paramList.Add(new SqlParameter("@no" +i, trade_no[i]));

}

sql= string.Format(sql, sql1.Substring("or".Length));var ds =SqlHelper.SqlDataSet(ConfigFile.PayCenterConnection, sql, CommandType.Text, paramList.ToArray());if (ds == null || ds.Tables.Count == 0)return null;return ds.Tables[0];

}

-----2016-12-13 09:39:32

【续】方法总比问题多

今天早上刷牙时,灵光一现,对于昨天的方案,不需要通过借助or或union的方式来更改sql的in了,即,可以直接生成如下的sql语句:

select * from T_AlipayNotityRecord where trade_status=@trade_status and trade_no in(@no0,@no1,...)

程序代码在上面的基础上稍做处理:

public DataTable GetAlipayNotifyRecords(AlipayPaymentStatus status, params string[] trade_no)

{string sql = @"select * from T_AlipayNotityRecord where trade_status=@trade_status and trade_no in({0})";

List paramList = new List()

{new SqlParameter("@trade_status",status.ToString()),

};string sql1 = "";for (int i = 0; i < trade_no.Length; i++)

{

sql1+= ",@no" +i;

paramList.Add(new SqlParameter("@no" +i, trade_no[i]));

}

sql= string.Format(sql, sql1.Substring(",".Length));var ds =SqlHelper.SqlDataSet(ConfigFile.PayCenterConnection, sql, CommandType.Text, paramList.ToArray());if (ds == null || ds.Tables.Count == 0)return null;return ds.Tables[0];

}

这样子生成的sql就很直观了。比上面方案的还简短。

契卡给油送温暖五
关注
实现MS SQL存储过程传入的“,”分隔字符串的(in)操作
Johnson在Csdn的小窝
08-27 797
传入的@items值是(2,3,5,8,)这种类型 /*显示选的商铺的资讯列表*/CREATE procedure select_NewListByshopId@flag int,@keyword Varchar(50),@sDate  DateTime,@items  varchar(100)as declare @split varchar(1) set @split=, dec
sql按in集合排序
weixin_30553065的博客
09-12 143
1、SELECT * from tbLabelResRelation WHERE lId in(32,18,27,19) order by FIND_IN_SET(lId ,'32,18,27,19'); 2、SELECT * from tbLabelResRelation WHERE lId in(32,18,27,19) order by substring_index('32,18,27,...
项目sql语句涉及到取集合时(即in(...))的用法foreach
qq_34409900的博客
11-30 2930
1.foreach简单介绍:foreach的主要用在构建in条件,它可以在SQL语句进行迭代一个集合。 Parameter 'list' not found. Available parameters are [XXX, param1]
sqlparameter参数设定
CF西西的专栏
08-17 724
var parameters = new[]{new SqlParameter("@creationDate", DateTime.Now),new SqlParameter("@creator", userId),
SqlHelperIN集合场景下的参数处理
weixin_30578677的博客
12-12 118
我手头有个古老的项目,持久层用的是古老的ADO.net。前两天去昆明旅游,其的一个景点是云南民族村,通过导游介绍知道了一个古老的民族——基诺族,“基”在这个族内代表舅舅,“基诺”意为“跟在舅舅后边”,加以引申即为“尊崇舅舅的民族”,很有意思吧,这是我国最后一个被发现并确认下来的少数民族,即第56个民族。 项目里的ado.net和基诺族一样古老。 话说,项目里数据访问层,好多都是拼的sql...
DAL.zip_E9A_SQLHelper_dal库_dbhelper_oracle
09-15
在ASP.NETSQLHelper类是System.Data.SqlClient命名空间下的一个静态类,主要用于执行SQL命令和存储过程。这个“E9A_SQLHelper”可能是一个自定义版本,扩展或优化了默认的SQLHelper功能,以更好地适应Oracle...
emp.rar_emp分页代码_fenyepage.class.php_php html5_sqlhelper.class.ph
09-21
在IT行业,分页是网页应用不可或缺的功能,特别是在处理大量数据时,它能有效提高用户体验,避免一次性加载过多内容导致页面响应缓慢。这个"emp.rar"压缩包包含了一个基于PHP的分页实现,结合HTML5和SQL数据库...
SQLHelper.rar_SQLCE操作类_SQLHelper_SQLOleDBHelper_SQLite操作类_类
07-13
常用数据库操作类封装。 SQLite、SQLCE 除了支持连接、插入、查询、事务等、还支持支持数据层级的操作
VBA_SqlHelper框架
09-23
在Excel使用VBA编写的SqlHelper框架,可简化访问SQLSERVER数据库,可在此基础上丰富功能。
C# 启用事务提交多条带参数SQL语句实例代码
08-27
然后,我们遍历detailParam参数,并执行detailSql语句,并将参数添加到cmd的Parameters集合。最后,我们提交事务,并返回true,以表示事务执行成功。 如果在执行过程出现异常,我们catch该异常,并回滚事务以...
SQL实现递归及存储过程In()参数传递解决方案详解
12-15
1.SQL递归 在SQL Server,我们可以利用表表达式来实现递归算法,一般用于阻止机构的加载及相关性处理。 –>实现: 假设OrganiseUnit(组织机构表)主要的三个字段为OrganiseUnitID(组织机构主键ID)、ParentOrganiseUnitID(组织机构父ID)、OrganiseName(组织机构名称) 代码如下:with organise as(select * from OrganiseUnit where OrganiseUnit.OrganiseUnitID = @OrganiseUnitID union all select OrganiseUnit
黑马程序员-sqlhelper 传入多parameter参数遇到的问题
zj_alex的专栏
03-07 1043
SqlHelper类,写的方法如下 class SqlHelper     {         private static string constr = ConfigurationManager.ConnectionStrings["constr"].ConnectionString;         public static DataSet Ex
参数SqlHelper
weixin_34021089的博客
09-04 147
1 namespace WpfApplication3 2 { 3 class 简化SqlHelper 4 { 5 private static string ConnStr = ConfigurationManager.ConnectionStrings["connStr"].ConnectionString; 6 7 ...
SQLSERVER】自定义函数传递in条件使用的参数
xingmz的专栏
02-04 1305
SQLSERVER传递in参数时的一种处理方法,否则不能正确执行
实用方法-拼接IN条件值
小小渔夫
09-10 1365
场景 假如在SQL语句使用in查询,此时你又不想写for循环,想直接将参数以一个String逗号分隔的字符串传入,例如:'1','2','3'。怎么整呢,下面是两个常用的方法,可以根据自己的应用场景适时修改而用之。 方法一 /** * 拼接IN条件值 * @param idsList * @return */ public static String getInCond(String[] idsList) { StringBuffer sb = new StringBuffer
SQL Server参数SQL语句的like和in查询的语法(C#)
zdhlwt2008的博客
03-31 5947
sql语句进行 like和in 参数化,按照正常的方式是无法实现的 //SqlParameter 会把where insert delete等字符原样的插入写入查询到sql语句,而不会让这些关键字产生效果。。。。。。 我们一般的思维是: Like参数化查询: string sqlstmt = "select * from users where user_name like '%@word%' or mobile like '%@word%'"; SqlParameter[] Parameters=.
sql拼接in
qq_39173779的博客
01-14 948
sql.Append(string.Format(" AND a.MANIFEST_ID in ({0})", string.Join(",", array.Select(x => string.Format("'{0}'", x)))));
in ms sql 集合参数传递_SQLin参数在存储过程传递及使用的方法
weixin_42508557的博客
12-30 556
背景:1、使用存储过程2、存储过程有in3、in括号里面的内容作为参数传递解决方案:1、直接拼接sql可在存储过程拼接字符串,然后执行此字符串,类似于js的evalPROCEDURE [dbo].[INSelect]@P_0 NVARCHAR(600)ASDECLARE @A VARCHAR(6000)SET @A='SELECT * FROM testTb WHERE zip IN ('+...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值